En savoir plus

10 conseils pour mettre en place un réseau local sans fil

Dossier Mobilité

Parallèlement, les ventes d'ordinateurs portables sur l'ensemble du territoire français ont décollé de 24,3% en volume pendant l'année 2004, selon le spécialiste Gartner. En comparaison, la croissance française des ventes d'ordinateurs sur l'année 2004 s'élevait à 17,7%. Les progrès technologiques ont largement favorisé cet essor. Actuellement, un PDA dispose d'un microprocesseur aussi puissant que ceux des ordinateurs vendus trois ans plus tôt.

Des progrès qui ont également porté sur la densité de stockage et les médias amovibles. Désormais, les clefs USB disposent d'un espace disque de plusieurs gigaoctets, facilitant le transport d'informations. Reste que ces technologies comportent de sérieux risques en matière de sécurité qui ne peuvent être toujours résolus. Il convient dès lors de bien justifier l'usage de la mobilité et d'en encadrer le fonctionnement.

1) Chiffrer le contenu des terminaux mobiles
Que ce soit le smartphone ou l'ordinateur portable, les terminaux mobiles contiennent des informations sensibles appartenant à l'entreprise qui sortent du périmètre de sécurité traditionnel. En cas de vol ou de perte, un terminal non crypté facilite grandement la tâche du nouveau propriétaire de l'appareil. Une mesure de cryptage du disque dur doit être accompagnée d'une politique de mot de passe forte. Exemple type d'applications de cryptage, les outils PGP Mobile ou PGP Disk.

L'autre solution consisterait à ne pas avoir d'informations confidentielles sur ces disques mais cela en limite fortement l'usage. Dès lors, les solutions de connexion privée distante s'imposent. "Le VPN SSL revient à la mode. Son principe est simple : le client se connecte à un bureau virtuel et tous les fichiers qu'il aura créés seront effacés à la fin de sa session. Cet accès peut se révéler intéressant mais exige des ressources machines et ne fonctionne qu'avec un réseau à proximité, ce qui réduit de fait la mobilité. D'autres solutions comme Terminal Server ou Citrix, donnent directement accès aux ressources serveurs contrairement au VPN SSL qui se destine à une application", affirme Axelis Ravel D'estinne, consultant sécurité chez Lexsi.

2) Appliquer le même niveau de sécurité que pour un poste traditionnel
Antivirus, pare-feu et correctifs de sécurité apportent un premier niveau de sécurité au poste mobile contre les codes malveillants. Encore peu dangereux, les virus mobiles se sont toutefois multipliés ces douze derniers mois. "Depuis Cabir, premier virus théorique à se propager en Bluetooth sur les systèmes Symbian OS, on compte une quarantaine de virus de ce type. Toutefois, pour être contaminé à l'heure actuelle, il faut être équipé d'un système Symbian vulnérable, du Bluetooth et accepter de télécharger une pièce jointe", note Eugenio Correnti, ingénieur sécurité chez F-Secure.

3) Vérifier la politique de sécurité des terminaux entrants
Dès lors que l'employé s'absente de l'entreprise pour une longue durée, le risque s'accroît d'une contamination du poste par des virus, vers ou chevaux de troie. Les outils traditionnels de sécurité utilisent une base de signatures qui doit être régulièrement mise à jour. Trois solutions s'offrent alors à l'entreprise : interdire la connexion à distance en désactivant l'accès Internet de la machine, une solution souhaitable si le portable transporte des informations hautement confidentielles ; recourir à un outil de virtualisation du poste client afin de séparer l'usage personnel de l'usage professionnel ; ou créer une zone tampon (DMZ) contrôlant la sécurité du poste à chaque connexion au réseau de l'entreprise. Cette dernière solution n'élimine pas la contamination de la machine mais nettoie l'infection avant de connecter la machine au reste de l'informatique.

4) Désactiver les fonctions dangereuses
Les clefs USB constituent un relais potentiel de propagation pour les virus. Les moteurs des antivirus analysent tout lecteur physique, clefs USB comprises mais un risque existe entre le délai d'apparition du virus et la disponibilité de sa signature. Sur un poste de travail fixe, le délai se compte en heures, mais il s'étend en jours sur les mobiles. L'administrateur peut, s'il le juge nécessaire, désactiver l'accès à tout périphérique externe.

Le problème peut être résolu de la même manière pour les réseaux WiFi. "Concrètement aujourd'hui, si un réseau WiFi est bien installé, il sera sécurisé. Le problème vient de l'ancienneté de certains postes, achetés il y a deux ans, et qui fonctionnent encore avec le protocole Wep. De toute manière, il est recommandé de faire passer ses connexions WiFi par des réseaux privés virtuels. Ainsi, si demain les protocoles WiFi sont cassés, le VPN continuera de protéger les communications", analyse Laurent Dupuy, consultant sécurité chez Free Security.

5) Contrôler le fonctionnement des applications
Des protections disponibles sur les principaux systèmes d'exploitation mobiles comme Windows CE permettent de limiter l'accès aux API systèmes tant que l'application n'a pas été préalablement signée. Cette mesure évite l'utilisation de logiciels potentiellement dangereux (peer-to-peer, messagerie instantanée) et bride les troyens. Le responsable sécurité peut même interdire l'installation de nouveaux composants sur le portable en dehors du réseau de l'entreprise, cela entrave toutefois la liberté offerte par le terminal mobile.

6) Sensibiliser les utilisateurs aux risques
Tout comme le poste de travail, le terminal mobile implique des risques et donc des procédures de sécurité quotidiennes dont il faut avertir l'usager. Les cabinets de conseil en sécurité recommandent de porter l'effort de communication notamment sur la sécurisation des données confidentielles et la nécessité d'une utilisation raisonnée de la connexion à distance. Pour éviter une dégradation des conditions de sécurité, il convient de réaliser un diagnostic régulier de la machine. A cette occasion, le responsable sécurité pourra rappeler les principaux risques à l'utilisateur de l'appareil mobile.

7) Séparer les connexions des terminaux mobiles du reste du réseau
La séparation s'effectue soit en installant un réseau virtuel (VLAN), soit en limitant les droits d'accès aux applications réseaux ou en ne donnant accès qu'à une base secondaire répliquée à partir de la base principale. La séparation possède un double intérêt : elle évite la propagation d'un virus au reste de l'infrastructure en cas d'infection et elle restreint toute tentative d'accès distant non autorisé même en cas d'authentification réussie.

8) Harmoniser la gestion de son parc mobile
La diversité des protocoles et des fonctionnalités des terminaux mobiles complique l'administration de la sécurité. En revanche, la diversité garantit une meilleure étanchéité du réseau face aux différentes menaces mobiles actuelles qui s'appuient comme le virus CommWarrior sur la connexion Bluetooth disponibles sur une catégorie d'appareils bien déterminés. "Les constructeurs ont fait beaucoup de progrès pour protéger tout ce qui tourne autour de la communication Bluetooth et de la pile Bluetooth. Avant, avec un certain type d'émetteur, une attaque à des distances proches du kilomètre était possible", explique Laurent Dupuy.

9) Contrôler les connexions Internet par le biais de smartphones
Une menace possible des smartphones se situe dans la création de passerelles Internet. Equipés d'une connexion Bluetooth et GPRS, ces appareils peuvent servir de passerelles Internet à des postes d'entreprises qui passent ainsi outre les protections habituelles de proxy, pare-feu et filtrages d'URL. Utiliser un téléphone mobile comme modem USB ou Bluetooth nécessite toutefois des modifications systèmes. L'administrateur sécurité pourra détecter les modems non autorisés via des outils d'analyse de flux puis vérifier l'état du système sur ces terminaux.

En savoir plus

10 conseils pour mettre en place un réseau local sans fil

Dossier Mobilité

10) Réaliser des sauvegardes régulières de l'image du système
Eloignés de l'entreprise, les documents présents sur les terminaux mobiles ne peuvent être toujours sauvegardés au même rythme que les postes de travail. Pourtant, les PDA ou les smartphones contiennent désormais des données sensibles (photos, vidéos, carnet d'adresse, mails ou fichiers textes). Il convient donc d'assurer régulièrement cette sauvegarde, par exemple à l'occasion d'une connexion réseau en comparant la date de la dernière sauvegarde des données avec la date actuelle.